Netcrook Logo
👤 BYTEHERMIT
🗓️ 22 Nov 2025  

Doble engaño: cómo los ataques de navegador-dentro-del-navegador de Sneaky2FA superan incluso a los más cautelosos

Kits de phishing como Sneaky2FA están reescribiendo las reglas del cibercrimen, secuestrando la confianza al imitar ventanas de navegador de forma tan convincente que ni siquiera la autenticación en dos pasos es suficiente.

Datos rápidos

  • Sneaky2FA es una popular plataforma de phishing-como-servicio (PhaaS) que apunta a cuentas de Microsoft 365.
  • Ahora utiliza ataques de “navegador-dentro-del-navegador” (BitB) para falsificar ventanas emergentes de inicio de sesión dentro de navegadores reales.
  • Esta técnica puede eludir la autenticación en dos pasos robando tokens de sesión, no solo contraseñas.
  • El kit de phishing adapta su apariencia para coincidir con el dispositivo y navegador de la víctima, aumentando su credibilidad.
  • La ofuscación avanzada del código ayuda a Sneaky2FA a evadir la mayoría de las herramientas de seguridad e investigadores.

El arte de la ilusión: cómo funcionan los ataques BitB

Imagina que abres una puerta con llave, solo para darte cuenta después de que la cerradura era solo una calcomanía. Esa es la inquietante magia detrás de los ataques de navegador-dentro-del-navegador (BitB), una técnica ahora potenciada por el kit de phishing Sneaky2FA. En lugar de páginas de inicio de sesión burdas y obviamente falsas, los ataques BitB generan ventanas emergentes inquietantemente auténticas - con barras de direcciones y marcas familiares - dentro de tu propio navegador. Las víctimas creen que están iniciando sesión a través de Google o Microsoft, cuando en realidad están entregando sus credenciales a criminales.

Sneaky2FA: el phishing como servicio madura

Las plataformas de phishing-como-servicio (PhaaS) como Sneaky2FA han democratizado el cibercrimen, permitiendo que incluso atacantes novatos alquilen herramientas sofisticadas. Sneaky2FA, junto a rivales como Tycoon2FA y Mamba2FA, es conocido por atacar usuarios de Microsoft 365, un objetivo corporativo favorito. Lo que distingue a Sneaky2FA es su uso del truco de “atacante-en-el-medio”: cuando intentas iniciar sesión, el kit reenvía tu autenticación real al servicio genuino, interceptando no solo tu contraseña, sino también el token de sesión - una especie de pase digital de acceso tras bambalinas. Con esto, los atacantes sortean incluso la autenticación en dos pasos (2FA), obteniendo acceso como si fueran tú.

BitB: breve historia y amenaza en evolución

El concepto BitB surgió por primera vez en 2022, gracias a un investigador conocido como mr.d0x. Desde entonces, la técnica se ha propagado por el submundo del cibercrimen. Lo novedoso es su integración fluida en kits de phishing como Sneaky2FA. Las ventanas falsas se adaptan al sistema operativo y navegador de la víctima - Edge en Windows, Safari en macOS - haciendo que la ilusión sea casi perfecta. Estas ventanas emergentes muestran una barra de direcciones falsificada, engañando a los usuarios para que crean que están iniciando sesión en un sitio legítimo. Bajo la superficie, trucos avanzados de HTML y JavaScript - como etiquetas ocultas e imágenes codificadas - ayudan al kit a evadir los escaneos de seguridad. Bots e investigadores son redirigidos a páginas señuelo inofensivas, manteniendo el ataque real en secreto.

Por qué importa: confianza, tecnología y un campo de batalla cambiante

La evolución de Sneaky2FA es una advertencia: ninguna medida de seguridad es infalible cuando la confianza misma se convierte en el objetivo. Las organizaciones han invertido recursos en implementar 2FA, creyendo que era una solución definitiva. Pero los ataques BitB cambian las reglas, minando la confianza del usuario y exponiendo un nuevo frente en el mercado del cibercrimen. A medida que los kits de phishing se vuelven más sofisticados y accesibles, los atacantes pueden lanzar campañas convincentes a gran escala - potencialmente influyendo en todo, desde el espionaje corporativo hasta la geopolítica. La línea entre lo real y lo falso nunca ha sido tan difusa.

En un mundo donde incluso las “cerraduras” en las que más confiamos pueden ser falsificadas, la vigilancia y la educación son nuestra última y mejor defensa. A medida que herramientas de phishing como Sneaky2FA continúan evolucionando, también deben hacerlo nuestro escepticismo - y las medidas de seguridad diseñadas para protegernos.

WIKICROOK

  • Phishing: El phishing es un delito informático donde los atacantes envían mensajes falsos para engañar a los usuarios y hacer que revelen datos sensibles o hagan clic en enlaces maliciosos.
  • Navegador: Un navegador es un software para acceder y visualizar sitios web, que a menudo recopila datos de telemetría para monitorear la actividad del usuario y mejorar la ciberseguridad.
  • Token de sesión: Un token de sesión es un código digital único que mantiene a los usuarios conectados a sitios web o aplicaciones. Si es robado, los atacantes pueden acceder a las cuentas sin necesidad de contraseña.
  • Doble: La autenticación en dos pasos (2FA) es un método de seguridad que requiere dos tipos diferentes de identificación para acceder a una cuenta, dificultando el hackeo.
  • Ofuscación: La ofuscación es la práctica de disfrazar código o datos para dificultar que humanos o herramientas de seguridad los entiendan, analicen o detecten.
Sneaky2FA phishing attacks two-factor authentication
BYTEHERMIT BYTEHERMIT
Air-Gap Reverse Engineer
← Back to news